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1 NOW! ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRES$£E 

CABINET BALLOT 
9, rue Claude Chappe 
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Confirmation d'un depot par telecopie 


□ N° attribue par I'lNPl a la telecopie 


WHIM 






Demande de brevet 




Demande de certificat d'utilite 


□ 


Demande divisionnaire 


□ 


ou denu 


Demande de brevet initiate 
inde de certificat d , utilite' initiate 


N° Date 1 1 1 1 1 > I . 1 
N* Date 1 1 1 1 1 i . i f 


Transformation d'une demande de 
brevet europeen Demande de brevet initiate 


□ 

N° Date 1 i 1 i 1 i . i 1 


H TITRE DE L'INVENTION <20O caractere* ou espacos maximum) 


Procede de division entiere securisS contre les attaques a canaux caches. 


II DECLARATION DE PRIORITY 
OU REQUETE DU BENEFICE DE 
LA DATE DE D£PdT D'UNE 
DEfVlANDE AWTfiRIEURE FRAWQAISE 


Pays ou organisation 

Date I i I , ! i i , I IM° 
Pays ou organisation 

Date | i | i i , , , | no 
Pays ou organisation 

Date 1 i 1 i 1 i i i 1 wo 

□ S'i! y a d'autres priorites, cochez la case et utilisez I'imprime «Suite» 


lg DEMANDEUR (Cochoz I'une des 2 cases) 


El fei^MMa'nAriitt □ Persb^ 


Norn 

j ou denomination sociale 


GEMPLUS 


Prenoms 




Forme juridique 


Soctete Anonvme ! 


N° SIREN 


1 ! 1 1 1 f | \ 1 | 


Code APE-NAF 




1 1 1 1 1 


Domicile 
ou 


Rue 


Avenue du Pic de Bertagne 
Pare d'Activites de GEMENOS 


siege 


Code postal et ville 


11 i3i4i2i0| GEMENOS 




Pays 


FRANCE 


Nationality 




frangaise 


N° de telephone (factdtatij) 


N° de telecopie (facidtatif) 


Adresse electronique (facultatif) 






□ S'iI y a plus d'un demandeur, cochez la case et utilisez I'imprime «Suite» 
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Norn 



LECLAIRE 



Cabinet ou Societe 



N °de pouvoir permanent et/ou 
de lien contractuel 



Adresse 



Rue 



9, rue Claude Chappe 
Metz Technopole 



Code postal etvlile . 



15 i7 iQ >7 iQ I METZ 



Pays 



FRANCE 



N° de telephone (facuftetij) 



03.87.74.81.36 



N° de telecopie (facuffot0 



03.87.36.26.76 



Adresse electronique (facuftatsj) 



Les demandeurs et les inventeurs 
sont les memes personnes 



□ Oui 
HI Non 



Dans ce cas romplir le formulaire de Designation d'inventeur(s) 



£tablissement immediat 
ou etablissement differe 



m 
□_ 



Paiement echelonnS de ia redevance 

(en deuxversements) 



Um quement pour les personnes physiques effectuant elle&memes leur propre depot 

□ Oui 

H]Non 



REDUCTION DU TAUX 
DES REDEVAWCES 



Uniquement pour les personnes physiques 

□ Requise pour la premiere fois pour cette invention (Jomdrvmtavisdenommpasition) 

□ Obtenue anterieurement h ce depot pour cette invention ffowdre tme copie de /a 
decision d'admtsston d Pass/stance gratutfe ou fndiquersa reference): AG | , , , , | 



IS SEQUENCES DE NUCLEOTIDES 
ET/OU D'ACIDES AMINES 



□ Cochez la case si la description contient une liste de sequences 



Le support electronique de donn^es est joint 

La declaration de conformite de la liste de 
sequences sur support papier avec le 
support electronique de donnees est jointe 



□ 
□ 



Si vous avez utilise Timprime «Suite». 



indjquez le nombre de pages jointes 
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OU DU MAW DATA! RE 

(Norn et qualite du signataire) 

Jean-Louis LECLAIRE - 93,4009 



/((- 



CABINET BALLOT 
CONSEILSEN PROPRlfTE INDUSTRIEL||e 
9, rue Claude Chappe 
Technopole Metz 2000 
57070 METZ 



VISA DE LA PREFECTURE 
OU DE L'INPl 




La loi n°78-17 du 6 janvier 1978 relative & IMnformatique, aux fichiers et aux libertes s'applique aux reponses faites a ce formulaire. 
tile garantit un droit d'acces et de rectification pour le* donnees vous concernant aupres de I'lNPI. 
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PftOCEbE DE DIVISION ENTIERE 
SECURISE CONTRE L RS ATTAQUES A CANAUX CACHES 

L' invention conceme un procede de division entiere 
securise contre les attaques de type a canal cache. 
L' invention est notamment interessante pour realiser des 
operations de division dans un procede cryptographique 
plus general, par exemple un procede cryptographique a 
cle secrete ou publique. Un tel procede cryptographique 
peut par exemple etre mis en oeuvre dans des dispositifs 
electroniques tels que des cartes a puce. 



La security des procedes cryptographiques resident 
dans leur capacite a maintenir cachees les donnees 
confidentielles ou des donnees derivees des donnees 
confidentielles qu'ils manipulent. 

Un utilisateur malveillant peut eventuellement 
15 engager des attaques, visant a decouvrir notamment* 1 des 
donnees confidentielles contenues et manipulees dans:;', des 
traitements effectues par le dispositif de calcul 
executant un procede cryptographique. 

Parmi les attaques les plus connues, on peut citer 
20 les attaques a canaux caches, simples ou dif f erentielles . 
On entend par attaque a canal cache une attaque basee sur 
une grandeur physique mesurable de l'exterieur du 
dispositif, et dont 1' analyse directe (attaque simple) ou 
1' analyse selon une methode statistique (attaque 
25 differentielle) permet de decouvrir des donnees contenues 
et manipulees dans des traitements realises dans le 
dispositif. Ces attaques ont notamment ete devoilees par 
Paul Kocher (Advances in Cryptology - CRYPTO' 99, vol. 
1666 of Lecture Notes in Computer Science, pp. 388-397. 
30 Springer-Verlag, 1999) . 

Parmi les grandeurs physiques qui peuvent etre 
exploitees a ces fins, on peut citer le temps 



2 



d 1 execution, la consommation en courant, le champ 
electromagnetique rayonne par la partie du composant 
utilisee pour executer le calcul, etc. Ces attaques sont 
basees sur le fait que, au cours de 1' execution d'un 
5 procede, la manipulation d'un bit, c'est a dire son 
traitement par une instruction particuliere, laisse une 
empreinte particuliere sur la grandeur physique 
consideree, selon la valeur de ce bit et / ou selon 

1 1 IximI-.t uc il~ i rll I 

10 

Les procedes cryptographiques utilisant comme 
operation de base une operation d' exponentiation 
modulaire de type Y = X D , X, Y et D etant des nombres 
entiers ont ete tres largement etudies ces dernieres 
15 annees . A titre d'exemple, on peut citer le procede RSA, 
l'echange de cle selon Dif f ie-Hellman ou le procede de 
signature DSA. Des progres signif icatif s ont ete realises 
pour proteger ces procedes contre les attaques a canaux 
caches . 

20 Par contre, aucune etude n'a ete faite sur la 

securisation des procedes cryptographiques utilisant 
comme operation elementaire une division entiere de type 
q = a div b et r = a mod b, a et b etant deux operandes, 
q et r etant respectivement le quotient et le reste de la 

25 division entiere de a par b. a et / ou b sont des donnees 
secretes, par exemple des elements d'une cle du procede. 
Par exemple, le proced£ de Barrett (P. Barret, 
"Implementing the RSA public key encryption algorithm on 
a standard digital signal processing", vol 263 of Lecture 

30 Notes in Computer Science, pp. 311-323, Springer Verlag, 
1987), le procede de Quisquater (US patent 5,166,978, nov 
92) ou le procede RSA mis en oeuvre selon le theor&rie des 
restes chinois (JJ Quisquater and C Couvreur, "Fast 
decipherment algorithm for RSA public key crypto system" , 

35 Electronics Letters , vol 18, pp. 905-907, Octobre 1982) 
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sont des procedes cryptographiques utilisant une division 
entiere comme operation elementaire. 

Un procede cormu pour mettre en ceuvre tone division 
entiere est le proced<§ dit "papier crayon". Ce procede 
5 reprend en pratique la methode utilisee lorsqu'une telle 
operation est realisee a la main. Ce procede est rappele 
ci-dessous . 

Etant donne deux donnees a = (a m . lt a 0 ) de m 

bits et b = (bn-i, . .., b 0 ) de n bits, n inferieur ou egal 
10 a m et b n _i * o, le procede de division dit "papier 
crayon" calcule le quotient q = a div b et le reste 
r = a div b. Pour cela, le procede realise successivement 
plusieurs divisions d'un entier A de n+1 bits par 
l'entier b de n bits. On doit avoir en pratique. 
0 < A/b < 2, ce qui est le cas chaque fois que b n _i * 0. 3 
Le reste r est un nombre de au plus n bits puisque ,:. 
r < b. Le quotient q est quant a lui un nombre de au plus >. 
m-n+1 bits puisque q = a div b < a div (b n _ 1 *2°-i) = a div * 
2n-i = ( ain _ 1 an _ l} car b ^ bn _ 1 * 2 n-i et {sLm l Qn _ 

20 !) est un nombre de m-n+1 bits. A la fin du procede de 
division, le quotient q est memorise dans les m-n+1 bits.: 
de poids les plus faibles du registre contenantj 
initialement le nombre a. Le bit de poids le plus fort du 
reste r est memorise dans un registre de 1 bit utilise 

25 comme retenue (carry) pendant le calcul et les n-1 bits 
de poids les plus faibles du reste r sont memorises dans 
les n-1 bits de poids les plus forts du registre 
contenant initialement le nombre a. 

Comme on travaille en base 2, le bit de quotient de 

30 la division entiere A div b a seulement deux valeurs 
possibles : 0 ou 1. Aussi une maniere simple de realiser 
1' operation A div b consiste a soustraire b a A puis a 
tester le resultat : si le resultat de A - b est positif, 
alors A div b = 1, si le resultat de A - b est 

35 strictement negatif, alors A div b = 0. 
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Le procede de division complet peut alors s ' ecrire 
de la maniere suivante : 

Entree : a = (0, a m -i, . a 0 ) 
5 b = (b n ~i, . . . , bo) 

Sortie : q = a div b et r = a mod b 

A = (0, a m _i , a m - n+ i) 

Pour j = 1 k (m-n+1), faire : 

10 A <- SUB n (A, b) ; a <- G OU carry 

si (-iG = VRAI) alors A <- ADD n (A, b) 

sinon lsb(a) = 1 

Fin Pour 

Procede 1 

15 

Dans ce procede, et dans tout ce qui suit, les 
notations suivantes sont utilisees. 

Le symbole "<-" et la notation y <- x la notation 
est utilise pour indiquer le chargement du contenu d'un 
20 registre contenant une donnee x dans un registre dont le 
contenu est appele y. 

A est un mot de n bits correspondant au contenu des 
n bits de poids les plus forts du registre contenant 
initial ement la donnee a. A est bien sur modifie a chague 
25 iteration. 

G indique si la sous traction a ete effectuee a tord 
ou pas (ie si le bit de quotient doit etre egal a 0 ou a 
1) . 

—iG est le complement a 1 (encore appele negation) 
30 de la variable G. VRAI est une constante, egale a 1 dans 
un exemple . 

lsb(a) est le bit de poids le plus faible du nombre 
a, egalement appele bit le mo ins significatit de a. ' 

SHL m+ i(a, 1) est une operation de decalage a gauche 
35 de 1 bit dans le registre de m+1 bits contenant la donnee 
a, le bit sortant du registre etant memorise dans la 
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variable carry et un bit egal a 0 etant entre en bit de 
poids le plus faible du registre contenant initial ement 
la donnee a. 

ADD n (A, b) est une operation d' addition des n bits 
du nombre b aux n bits du mot A. On notera que 
1 'operation SHL n (a, 1) est equivalente a 1' operation 
ADD n (a, a). Bien sur 1- addition ADD n (A, b) est realisee en 
additionnant, dans un circuit d' addition de contenu de 
registre approprie, le contenu de deux registres 
contenant respectivement A et b. 

SUBnfA, b) est une operation de soustraction du 
nombre b au mot A. Bien sur la soustraction SUB n (A, b) est 
realisee en soustrayant, dans un circuit approprie, le 
contenu d'un registre contenant la donnee b au contenu du 
registre contant le mot A. 

Enfin, par abus de langage mais surtout par souci--, 
de clarte, on utilisera le meme nom pour parler d'un- 
registre et de son contenu. Ainsi le registre A est ea* 
fait le registre contenant la donnee A. 

En resume, le precede 1 realise les etapes .. 
suivantes : 

- sx a <- SHLm+jJa, 1) genere une retenue (a = carry. 
= 1), cela signifie que a m = 1 (avant decalage) et done 
que b doit etre sous trait a A. 

si a m+1 = o (avant decalage) et si A <- SUB n (A, b) 
genere une retenue (carry = 1) , ce l a signifie que 
A - b ;> 0 avant la soustraction et done b doit etre 
soustrait a A. 

- si a <- SHI™.! (a, 1) ne genere pas de retenue et 
si A <- SUB n (A, b) ne genere pas non plus de retenue 
( C .est-a-dire si, apres mise a jour de a, c est faux (ou 
-.a est VRAI, alors cela signifie que A - b < 0 avant la 
soustraction et done que b n'aurait pas du etre soustrait 
k A. Dans ce cas, le precede realise une operation 
d- addition A <- ADD n (A, b) pour restaurer la valeur de A. 
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Le procede 1 est sensible aux attaques a canal 
cache. En effet, on remarque sur le precede 1 que, a 
chaque . i.teratioja , selon la valeur de cr, e'est-a-dire 
selon la valeur du bit de quotient qui sera obtenu lors 

5 de 1' iteration en cours, on effectue une addition 
ADD n (A, b) ou pas. Le nombre d' operations effectuees au 
cours d'une iteration varie done en fonction du bit de 
resultat obtenu lors de ladite iteration. Or, la 
cu usuu ' ii u aLiuii eu courau~uTui ^i^^^^iS^^Si^aaE^S i g 

10 ou la duree de chaque iteration varie en fonction du 
nombre d' operations effectuees. En mesurant et en 
etudiant par exemple la trace laissee par le composant 
lors de l 1 execution du procede, il est alors possible de 
determiner bit a bit la valeur des bits de resultat. 



Un autre procede 6galement connu pour realiser des 
division entiere est une variante du procede "papier- 
crayon", dite "sans restauration" (Non-Restoring Binary 
Division Algorithm, notamment deer it dans "J.J.F. 
20 Cavanagh, Digital Computer Arithmetic, Mac Graw-Hill 
Company, 1984" . 



Entree : a = (0, a m _i, a 0 ) 

b = (b n -i, . . . , bo) 
Sortie : q = a div b et r = a mod b 
G l <- 1 ; A = (0, a m -i, a m . n +i) 
Pour j = 1 a (m-n+1) , faire : 

a <- SHL m+ i(a, 1) ; o <- carry 
si (a 1 =s VRAI) alors A <- SUB n (A, b) 

cy <- a OU carry 



15 
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sinon 



A <- ADD n (A, b) 
a <- a ET carry 
lsb(a) = 1 



si (a = vrai) 



alors 



35 



Fin Pour 

si (-na = VRAI) alors A <- ADD n (A, b) 
Procede 2 
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Par rapport au procede 1, le procede utilise une 
nouvelle variable <y' pour conserver la valeur de a 
obtenue a 1- iteration precedente. Ici, selon la valeur de 
5 a, on effectue une addition ou une soustraction. Dit 
autrement, si au cours d'une iteration, b est soustrait a 
tord a A, alors la valeur de A est restauree au cours de 
1 'iteration suivante, et non plus a la fin de 1' iteration 
en cours comme dans le cas du procede 1. 
10 Quelle que soit la valeur de ct au cours d'une 

iteration, le procede realise le meme nombre d' operations 
au cours de chaque iteration. Cette precaution n'est 
cependant pas suffisante pour proteger le procede contre 
les attaques a canal cache. En effet, a chaque iteration, 
on realise une operation de decalage a <- SHI^^fa, 1) 
puis, selon la valeur de a, une addition A <- ADD n (A, b) 
ou une soustraction A <- SUBn(A, b) . 

Or, la realisation d'une soustraction est plus 
longue et consomme plus d'energie que la realisation 
d'une operation d' addition. En effet, le plus souvent, 
les moyens de calcul utilises pour mettre en ceuvre le 
procede ne comprennent pas de circuit de soustraction. 
L 1 operation de soustraction est realisee en calculant 
d'abord le complement a 2* de b, note b, puis en 
25 additionnant b a A, la retenue eventuelle de 1' addition 
etant memorisee dans la variable carry. Ce mode de 
realisation d'une soustraction est jus_tifie par le fait 
que, par definition de b,_ on a b + b = 2*. on a done 
A - b = A + b-2n = A + bmod (2") , mod (2") <§tant une 
30 reduction modulo 2". D eux operations, une operation de 
complement a 2* et une addition, sont done en pratique 
necessaires pour realiser une soustraction. 

Comme les procedes connus de division entiere ne 
sont pas proteges contre les attaques a canal cache, tout 
35 procede cryptograph! que utilisant les procedes de 
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division entiere connu ne sont done pas plus proteges 
contre de telles attaques a canal cache. 

Par ailleurs, statistiquement,. 50% des bits du 
quotient obtenu par un procede de division sont egaux a 
5 0, ce qui signifie que statistiquement, le procede 
compense une sous traction sur deux faite a tord. Le temps 
d' execution du procede 1 est done statistiquement 1,5 
fois plus long que le temps d' execution du procede 2. 



10 Au vu des problemes des precedes cryptographiques 

actuels, un objet essentiel de 1 ' invention est un nouveau 
procede de realisation d'une division entiere, protege 
contre les attaques a canal cache. 

Un objet supplemental re de 1 1 invention est un 

15 procede de realisation d'une division entiere dont le 
temps d' execution est tres faible. 

Un objet supplement aire egalement de 1 ' invention 
est ion procede de realisation d'une division entiere au 
cours duquel seul le regis tre contenant la donnee 

20 initiale a est modifie, remplace par le quotient et le 
resultat, tout autre regis tre de la memoire (et notamment 
le registre contenant initialement la donnee b) restant 
inchange a la fin de 1' execution du procede. 

Avec cet objectif principal et ces objectifs 

25 subsidiaires en vue, 1 ' invention propose . un procede 
cryptographique au cours duquel on realise une division 
entiere de type q = a div b et r = a mod b, avec a un 
nombre de m bits, b un nombre de n bits avec n inferieur 
ou egal a m et b n _i non nul, b n ^x etant le bit de poids le 

30 plus fort de b, procede au cours duquel, a chaque 
iteration d'une boucle indicee par i variant entre 1 et 

m-n+1, on re alise une division partielle d'un mot A de n 

bits du nombre a par le nombre b pour obtenir un bit du 
quotient q. 
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Selon 1' invention, les memes operations sont 
realisees a chaque iteration, quelque soit la valeur du 
bit de quotient obtenu. 

Ainsi, avec le procede selon 1' invention, il n'est 
plus possible de determiner les bits du resultat a partir. 
de la trace laissee lors de 1' execution du procede de 
1 ' invention. 

Selon un premier mode de realisation du procede de 
1" invention, a chaque iteration, on realise une operation 
d- addition du nombre b au mot A et une sous traction du 
nombre b au mot A. 

Selon ce premier mode de realisation, le procede 
comprend de preference 1' ensemble des etapes suivantes : 

Entree : a = (0, a m _! a 0 ) 

b = (bn-i, . . . , b 0 ) 
Sortie : q = a div b et r = a mod b 
O' <- 1 ; A = (0, a m _!, a m _ n+1 ) 
Pour j = 1 a (m-n+1), faire : 

a <- SHLra+jja, 1) ; o" <- carry 
A <- «J')SUB n (A, b) + (— iO" ' ) ADDn {A, b) 
<J .<- (a ET a') e (o ET carry) © (a' ET carry). 
lsb(a) <- a 
o" <- O" 
Fin Pour 

Si (-itf = VRAI) alors A <- ADD n (A, b) 
Dans ce mode de realisation, la variable carry ci- 
dessus designe la retenue resultant de 1- operation 
SUB n (A, b) lorsque a> vaut 1 et la retenue resultant de 
1 •operation ADD n (A, b) lorsque a' vaut 0. 

Selon un deuxieme mode de realisation du procede 
selon 1- invention, a chaque iteration, on realise une 
operation d' addition soit du nombre b soit d'un nombre b 
complementaire du nombre b avec le mot A. 

De preference, au cours de chaque iteration, on 
realise egalement une mise a jour d'une premiere variable 
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(cr 1 ) en fonction du bit du quotient produit, la dite 
premiere variable (a 1 ) indiquant si, lors de 1' iteration 
suivante,. le. nombre b ou le nombre b doit etre additionne 
au mot A. 

De preference encore, selon ce mode de realisation, 
le procede comprend 1' ensemble des Stapes suivantes : 
Entree : a = ( 0 , a m _i , . . . , ao ) 
b = (bn_i, . . . , bo) 



10 A = (0, a m -i, am-n+l) ; <*' <- 1 /" b <- CPL2 n (b) 

Pour j = 1 a (m-n+1) , faire : 

a <- SHLm + i(a, 1) ; a <- carry 

daddr. <" baddr + <J f ( b a ddr " b addr ) 
A <- ADD n (A, d) 

15 a <- (a ET a 1 ) ® (a ET carry) © (C ET carry) 

lsb(a) <- a 
a 1 <- a 
Fin Pour 

si (-iC = VRAI) alors A <- ADD n (A, b) 

20 

Selon un troisieme mode de realisation du procede 
selon 1' invention, a chaque iteration, on realise une 
operation de complement a 2 n d'une donnee actualisee (b ou 
b) ou d'une donnee fictive (c ou c) puis une operation 
25 d 1 addition de la donnee actualisee avec le mot A. 

De preference, au cours de chaque iteration, on 
realise egalement a chaque iteration une mise a jour 
d'une deuxieme variable (8) en fonction du bit du quotient 
produit, la dite deuxieme variable (8) indiquant si, lors 
30 de 1' iteration suivante, 1" operation de complement a 2n 
doit §tre realisee sur la donnee actualisee ou sur la 
donnee fictive. 



De preference encore, au cours de chaque iteration, 
on realise Egalement a chaque iteration la mise a jour 
35 d'une troisieme variable (P) indiquant si la donnee 
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actualisee est_ egale au nombre b ou au nombre 
complementaire b. 

De preference encore, selon ce mode de realisation, 
le procede comprend 1' ensemble des etapes suivantes : 

Entree : a = (0, a m _! a 0 ) 

b = <bn-i, b 0 ) 
Sortie : q = a div b and r = a mod b 

C <- 1 ; P <- 1, y <- 1 ; A = (0, a m _! a ra _ n+1 ) 

pour j = 1 a (m-n+1) faire 

a <- SHL m +i (a, 1) ; a <- carry 
5 <- <r © p 

daddr <~ b a ddr + 8(c a ddr ~ b addr ) 
d <- CPL2 n (d) 
A <- ADD n (A, b) 

<y <- {a ET a 1 ) e (a ET carry) © (cr ET carry) 

P < \Cf 1 ; y <- y © S ; <y- <_ a 

lsb(a) = a 
fin pour 

si (-.p = VRAI) alors b <- CPL2 n (b) 
si (-vy = VRAI) alors c <- CPL2 n (c) 

si (-.a = VRAI) alors A <- ADD n (A, b) f 

L ' invention concerne egalement un coraposant 
electronique comprenant des moyens de calcul programmes 
pour mettre en ceuvre un procede tel que decrit ci-dessus, 
les moyens de calcul comprenant notamment une unite 
centrale associee a une memoire comprenant plusieurs 
registres pour memoriser les donnees a et b. 

Enfin, 1' invention concerne egalement une carte a 
puce comprenant un circuit integre tel que decrit ci- 
dessus . 



L' invention sera mieux comprise et d'autres 
caracteristiques et avantages apparaitront a la lecture 
de la description qui va suivre, d'exemples de 
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realisation de proc^des de division entiere selon 
1 1 invention, 

Dans un l er exemple de mise en ceuvre de l l invention / 
5 on realise un procede securise contre les attaques a 
canal cache en supprimant les operations de test (de type 
si ... alors ... si non ...) du procede 2 et done les 
consequences de leur presence. 

^efofx^^JE^v^ oced 6 =2=/= 

10 les etapes si ... alors ... sinon par les trois Stapes 
suivantes : 

A <~ <rSUB n (A, b) + (— iG 1 ) ADD n (A, b) 

<j <- (a ET a 1 ) © (a ET carry) © (a 1 ET carry) 

lsb(a) <- a 

15 On obtient ainsi le procede selon 1 1 invention 

suivant : 

Entree : a = (0, a m _i, . ao) 
b = (bn-i/ . . . # bo) 
20 Sortie : q = a div b et r = a mod b 

A = (0, a m _i, a m _ n+ i) ; <?' <- 1 

Pour j = 1 a (m-n+1) , faire : 

a <- SHLm+ifa, 1) ; 0 <- carry 
A <- (0 l )SUB n (A, b) + (— 10 1 ) ADD n (A, b) 
25 a <- (a ET a 1 ) © (a ET carry) © (a 1 ET carry) 

lsb(a) <- a 

0' <- <T 
Fin Pour 

Si (-10 = VRAI) alors A <- ADD n (A / b) 
30 Procede 3 

Le procede 3 est equivalent au procede 2 en ce sens 
qu'il produit le meme resultat a partir des memes donnees 
a et b d 1 entree. En effet, dans le procede 2, lorsque 
35 a 1 = 1, on realise 1 'operation A <- SUB n (A / b) et lorsque 
a' =0/ on realise 1 1 operation A <- ADD n (A, b) . II en est 
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de meme dans le procede 3 puisque a' = -,(-,<r). Par 
ailleurs, dans le procede 2, lorsque a' = 1 on realise 
1' operation a <- a OU carry, et lorsque a' = 0 on realise 
1' operation a <- a ET carry. Ceci pent s • ecrire sous la 
forme 

o <- (o") (a OU carry) + (-,o" ) (a et carry) , 
ce qui est logiquement equivalent a 

a <- (OETa 1 ) © (a et carry) © (cr et carry) 
Enfin, dans le procede 2, en realisant 1- operation 
a <- SHL m+1 (a, 1), on fixe a 0 le bit de poids le plus 
faible de a (dit autrement lsb(a) = 0) puis, a la fin de 
1' iteration en cours, si a = 1, on realise 1- operation 
lsb(a) = 1, sinon, si o = 0, lsb(a) n'est pas modifie. On 
peut done aisement remplacer 1' operation {si <y = l, 
lsb(a) = 1} par l'operation lsb(a) = <y, quelle que soil 
la valeur de a. '' 

Le procede 3 est non seulement equivalent au 
procede 2 mais il est egalement sxir vis-a-vis des 
attaques a canal cache. En effet, le procede ne contient 
aucune operation de test de type si ... alors ... sinon, et 
les memes operations sont realisees a chaque iteration, 
quels que soient le bit de la donnee d' entree utilise et. 
/ ou le bit de resultat obtenu au cours d'une iteration. 
II est done impossible, a partir de la trace laissee par 
le composant, de separer les differentes iterations et de 
determiner les bits de la donnee d' entree et / ou de la 
donnee de sortie. 

Dans un 2* me exemple de mise en oeuvre de 
1« invention, on modifie le procede 3 selon 1- invention en 
limitant de plus le temps d' execution du procede\ 

Comme on l'a vu precedemment , pour realiser une 
operation de soustraction A <- SUB n (A, b) , on realise en 
pratique une operation b = CPL2 n (b) de complement a 2* du 
35 nombre b puis une operation d 1 addition de type 
A <- ADD n (A, b) . 
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Ce qui signifie, pour le procede 3/ qu'a chaque 
iteration une operation de complement k 2 n est realisee, 
-en -plus d'une operation d 1 addition A. <- ADD n (A / b) ou 
A <- ADD n (A, b) . 

Pour diminuer le temps d' execution, on limite le 
nombre d' operations de complement a 2 n b <- CPL2 n (b) , on 
utilise un espace memoire additionnel pour stocker au 
debut du procede la valeur de b. II suffit alors 



10 d'aj outer b a A pour effectuer A <- ADD n ( A, b) . Cela 
permet 6galement de realiser une seule operation 
d' addition par iteration, de sorte que la vitesse 
d 1 execution est encore augmentee. 

On utilise ici deux registres b et b pour memoriser 

15 respectivement les donnees b et b et ayant pour adresse 
baddr et baddr- On appelle d le regis tre dont le contenu 
est additionne au contenu du registre A au cours d'une 
iteration donnee et on appelle d a ddr son adresse. En 
pratique, a chaque iteration, le registre d est soit le 

20 registre contenant b soit le registre contenant b. Comme 
dans le procede 3, la variable a 1 est utilisee pour 
garder une trace de ce qui s 1 est passe au cours d'une 
iteration donnee et determiner si une addition ou une 
soustraction doit etre realisee a 1 f iteration suivante . 

25 En regroupant le tout, on obtient finalement le procede 4 
suivant : 

Entree : a = (0, a m -i, . . . , ao) 
b = (b n -i, . . . , bo) 
30 Sortie : q = a div b et r = a mod b 

A = (0, a m -i, a m - n+ i) ; a' <- 1 ; b <- CPL2 n (b) 

Pour j = 1 k (m-n+1) , faire : 

a <- SHL m+ i(a, 1) ; a <- carry — — — — 

daddr <- b a ddr + O' ( b a ddr ~ baddr) 
35 A <- ADD n (A, d) 

c <- (a ET a 1 ) © (a ET carry) © (a 1 ET carry) 
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lsb(a) <- o 
a' <- a 
Fin Pour 

si = VRAI) alors A <- ADD n (A, b) 

5 Procede 4 

Dans un 3 dme exemple de mise en ceuvre de 
1' invention, on modifie le procede 4 selon 1' invention en 
limitant 1 • espace memoire utilise pour mettre en osuvre le 
10 procede . 

Pour cela, la valeur b complementaire de b resultat 
de 1' operation CPL2 n (b) est memorisee a la place de la 
valeur initiale de b, dans le meme regis tre. L- operation 
de soustraction est ainsi realisee en remplacant b par 
15 son complement b dans le meme registre puis en 
additionnant a A le contenu du dit registre. 

De plus, on evite le calcul de valeurs inutiles de 
b (c'est le cas lorsque deux iterations successives j et 
j+1 utilisent toutes deux la meme addition soit A <- a+1> 
soit A <- a + b) . Pour cela, on utilise un autre registre 
c dont le contenu, indifferent ou fictif, est remplacp 
par son complement a 2* lorsqu'il n'est pas necessaire de 
remplacer le contenu du registre contenant initialement b 
(c'est-a-dire lorsgue_ deux iterations successives 
utilisent soit b soit b) . En pratique, le registre c est 
un registre guelconque de la memoire, de meme taille que 
le registre contenant b, mais different des registres 
contenant initialement a ou b. Le registre c peut dtre 
utilise par ailleurs pour realiser d'autres operations. A 
la fin du procede de 1- invention, le registre c contient 
sa valeur initiale, c'est-a-dire celle qu'il avait avant 
execution du procede. La valeur initiale du contenu du 
registre c est totalement indifferente car cette valeur 
n'est pas reellement utilisee dans le cadre du procede 
35 selon 1' invention. 
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On appelle d a ddr l'adresse du registre contenant la 
valeur qui sera remplacee par son complement a 2 n lors de 
l 1 iteration en cours..; d a ddr est soit b a ddr si le contenu 
du registre contenant initialeinent b doit etre 
complements a 2 n , soit c a ddr sinon. On appelle d le 
contenu du registre dont l'adresse est d a ddr- 

On utilise egalement des variables (3 et y pour 
garder une trace de 1 1 etat de la valeur contenue dans les 



10 est soit la valeur originale soit la valeur originale 
compl^mentee a 2 n . On choisit (3 = 1 (resp. y = 1) lorsque 
la valeur localisee a l'adresse b a ddr (resp. c a ddr) est la 
valeur originale, et p = 0 (resp. y = 0) lorsque la valeur 
localisee a l'adresse b ad dr (resp. c a ddr)est le complement 

15 a 2 n de la valeur originale. La variable a 1 est utilisSe 
pour garder une trace de la valeur de la variable a a 
1' iteration precedente. Comme precedemment , cr 1 = 0 
signifie qu'une sous traction (A <- SUBnfA, b) 
ADD n (A, b) ) non necessaire a ete effectuee a 1' iteration 

20 precedente et qu'une operation d< addition A <- ADD n (A, b) 
doit etre realisee pendant l 1 iteration en cours pour 
compenser. Inversement, a 1 = 1 signifie qu'aucune 
soustraction n'a ete effectuee a tord lors de l 1 iteration 
precedente et qu'une soustraction doit etre effectuee 

25 lors de 1 ■ iteration en cours. 

On obtient la table de verite suivante : 





valeur s 


precedentes 


valeur s 


actualisees 




a' 


P 


Y 


P 


Y 




0 


0 


o 


1 


0 


30 


0 


0 


1 


1 


1 




0 


1 


0 


1 


1 




0 


1 


1 


1 


0 




1 


0 


0 


0 


1 




1 


0 


1 


0 


0 


35 


1 


1 


o 


0 


0 




1 


1 


1 | 


0 


1 



17 



On en deduit : 
P <- -,a' 
Y <- y © or' © p 

5 En regroupant le tout on obtient finalement le 

procede 5 suivant : 

Entree : a = (0, a m _i, ... , a 0 ) 
b = (b n _i, b 0 ) 
10 Sortie : q = a div b and r = a mod b 

O' <- 1 ; P <- 1, Y <- 1 ; A = (0, a*-!, a m _ n+1 ) 
pour j = 1 a (m-n+1) faire 

a <- SHLm+iCa, 1) ; a <- carry 
8 <- a' © p 

15 daddr <~ b addr + 8(c a a<3r - b a ddr) *i 

d <- CPL2 n {d) 
A <- ADD n (A, b) 

CT <- (a ET a') © (c ET carry) © (cr ET carry).. 
P <- -ia' ; y <- y © 8; a' <- a : 
20 lsb(a) = a 

fin pour 

si (-,p = VRAI) alors b <- CPL2 n (b) 
si (-.y = VRAI) alors c <- CPL2 n (c) 
si (-.a = VRAI) alors A <- ADD n (A, b) 
25 Procede 5 

De maniere generale, l'avantage essentiel de 
1- invention par rapport aux autres procedes connus 
realisant la meme operation est qu'il est sur vis a vis 

30 des attaques a canal cache, et notamment des attaques de 
type SPA. De plus, pour etre mis en ceuvre, le procede 
selon 1 ■ invention ne demande pas plus de ressources 
(notamment en terme de temps d' execution et d'espace 
memoire) que les procedes connus de division entiere, non 

35 proteges . 
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REVENDICATIONS 

1 . Procede cryptographique au cours duquel on 
realise une division entiere de type q = a div b et r = a 
mod b, avec q un quotient, a un nombre de m bits, b un 
nonibre de n bits avec n inf&rieur ou egal a m et b n -i non 

5 nul, b n -i etant le bit de poids le plus fort de b, precede 

. aii— cojoiis—duquel., — a ch,a,que_ij: er aji i pn_djjane_bpucl e_indi c_e e 

par i variant entre 1 et m-n+1, on realise Tine division 
partielle d f un mot A de n bits du nombre a par le nombre 
b pour obtenir un bit du quotient q, 
10 le procede etant caracterise en ce que les memes 

operations sont realisees a chaque iteration, quelque 
soit la valeur du bit de quotient obtenu. 

2. Procede selon la revendication 1, au cours 
15 duquel, a chaque iteration, on realise une addition du 

nombre b au mot A et une sous traction du nombre b au mot 
A. 

3. Procede selon l'une des revendi cat ions 1 a 2, au 
20 cours duquel on realise 1' ensemble des etapes suivantes : 

Entree : a = (0, a m -.i, . a 0 ) 

b = (b n -i, . . . , b 0 ) 
Sortie : q = a div b et r = a mod b 
A = (0, a m -i, a m _ n+1 ) ; a' <- 1 
25 Pour j = 1 h (m-n+1), faire : 

a <- SHL m+ i(a, 1) ; a <- carry 

A <- (a')SUB n (A, b) + ( — i(T 1 ) ADD n ( A , b) 

a <- (a ET a 1 ) 0 (a ET carry) 0 (a' ET carry) 
lsb(a) <- a 

50 cr 1 — *e — e — 

Fin Pour 

si {-.a = VRAI) alors A <- ADD n (A, b) 




4. Procede selorx la revendication 1, au cours 
duquel, a cbaque iteration, on realise une operation 
d 1 addition soit du nombre b ou soit d'un nombre b 
complement aire du nombre b avec le mot A. 

5 

5. Procede selon la revendication 4, au cours 
duquel, a chaque iteration, on realise £galement une mise 
a jour d'une premiere variable (a 1 ) indiquant si, lors de 
1' iteration suivante, le nombre b ou le nombre b doit 

10 etre additionne avec le mot A selon le bit de quotient 
produit (lsb(a) ) . 

6. Procede selon la revendication 4 ou la 
revendication 5, au cours duquel on realise 1 1 ensemble 

15 des etapes suivantes : 

Entree : a = (0, a m -i, . a 0 ) 

b = (b n -i. . . . , b 0 ) ■/* 
Sortie : q = a div b et r = a mod b 
A = (0, am-1, ~, a m - n+1 ) ; a 1 <- 1 ; b <- CPL2 n (b) 
20 Pour j = 1 a (m-n+1), faire : 

a <* SHi^-ifa, 1) ; a <- carry 

^addr <- baddr + CT* ( b a ddr - b a ddr) • 
A <- ADD n (A, d) 

a <- (a ET a 1 ) © (a ET carry) © (a» ET carry) 
25 lsb(a) <- a 

cr ! <- a 
Fin Pour 

si (-iG = VRAI) alors A <- ADD n (A, b) 

30 7 - Procede selon la revendication 1, au cours 

duquel, a chaque iteration, on realise_une operation de 
complement a 2 n d'une donnee actualisee (b ou b) ou d'une 
donnee fictive (c ou c) puis une operation d 1 addition de 
la donnee actualisee avec le mot A. 



20 



"8 Procede selon la revendi cation 7 , an - -cours 

duquel on realise egalement a chaque iteration une 
operation .de mise a jour .d'une deuxieme variable (5) 
indi quant si , lors de 1 1 iteration suivante, 1 ■ operation 
5 de complement a 2 n doit etre realisee sur la donnee 
actualisee ou sur la donnee fictive. 



9. Procede selon I'une des revendications 7 ou 8, 

10 mise a jour d f une troisi&me variable (p) indiquant si la 
donnee actualisee est egale a la donnee b ou a son 
complement a 2 n . 

10. Procede selon I'une des revendications 7 k 9, au 
15 cours duquel on realise l 1 ensemble des etapes- suivantes : 

Entree : a = (0, a m -i, ... , ao) 

b = (b n ~i, bo) 
Sortie : q = a div b and r - a mod b 
CT 1 <- 1 ; (3 <- 1, y <- 1 ; A = (0, a m -i, a m - n+1 ) 
20 pour j = 1 a (m-n+1) faire 

a <- SHL m+ i(a, 1) ; a <- carry 
5 <- a' © p 

daddr <" b a ddr + 5(c addr - b a ddr) 
d <- CPL2 n (d) 
25 A <- ADD n (A, b) 

a <- (a ET a') © (a ET carry) © (a 1 ET carry) 
P <- -iC 1 ; y <- Y © 8; O' <~ c 
lsb(a) = a 
fin pour 

30 si (-10 = VRAI) alors A <- ADD n (A, b) 



11. Procede selon la revendication 10, au cours 
duquel on realise, a la fin, les operations suivantes : 
si (-ip = VRAI) alors b <- CPL2 n (b) 
35 si (-iY = VRAI) alors c <- CPL2 n (c) 
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12. Composant £lectronique comprenant des moyens de 
calcul programmes pour mettre en ceuvre un procede selon 
l'une des revendi cat ions 1 a 11, les moyens de calcul 
comprenant notamment une unite centrale associee a line 

5 memoire comprenant plusieurs registres pour memoriser les 
donnees a et b. 

13 . Carte a puce comprenant un circuit integre selon 
la revendi cat ion 12 . 

10 
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